- 博客(22)
- 资源 (29)
- 收藏
- 关注
RSS订阅转载 Windows内核编程之:分页内存与非分页内存
Windows规定有些虚拟内存可以交换到文件中,这类内存被称为分页内存有些虚拟内存 永远不会交换到文件中,这些内存叫非分页内存#define PAGEDCODE code_seg(“PAGE”);//分页内存#define LOCKEDCODE code_seg();//非分页的#define INITCODE code_seg(“INIT”);
2015-11-30 16:34:50
1994
转载 Using the !analyze Extension
https://msdn.microsoft.com/en-us/library/windows/hardware/ff560201(v=vs.85).aspxUsing the !analyze ExtensionThe first step in debugging a crashed target computer or application is to
2015-11-27 16:57:53
535
转载 APC注入
/***********************************desc : This code was written for inject a dll named text.dll to the target process based on APC.time : 2013coder: ejoywx**********************
2015-11-24 14:15:10
483
转载 使用C编写shellcode
使用C编写shellcode背景有时候程序员们需要写一段独立于位置操作的代码,可当作一段数据写到其他进程或者网络中去。该类型代码在它诞生之初就被称为 shellcode,在软件利用中黑客们以此获取到shell权限。方法就是通过这样或那样的恶意手法使得这段代码得以执行,完成它的使命。当然了,该代 码仅能靠它自己,作者无法使用现 代软件开发的实践来推进shellcode的编写。
2015-11-23 15:56:22
893
转载 Windbg实用手册
基本知识和常用命令(1) Windbg下载地址http://msdn.microsoft.com/en-us/windows/hardware/gg463009.aspx安装完后执行windbg –I将Windbg设置成默认调试器 (2) Windbg的命令分为标准命令,原命令和扩展命令,输入问号(?)可以显示所有的标准命令的帮助信息; 元命令以一个点(.)
2015-11-20 12:56:22
490
转载 输入表重建工具ImportREC
Import REConstructor可以从杂乱的IAT中重建一个新的Import表(例如加壳软件等),它可以重建Import表的描述符、IAT和所有的ASCII函数名。用它配合手动脱壳,可以脱UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack, ASProtect等壳。该工具位于:光盘\tools\PE tools\Rebuilders\Import
2015-11-20 12:17:29
1133
原创 针对LdrLoadDll下条件断点过滤指定名称DLL加载时断点生效
针对加载*ser32.dll下断点:bu ntdll!LdrLoadDll "r $t0=poi(poi(esp+c)+4);as /mu ${/v:dllname} @$t0;.block{.if($spat(\"${dllname}\",\"*ser32.dll\")){kbn}; .else{ad ${/v:dllname};g}}"-----------------------
2015-11-17 18:05:33
1050
转载 windbg检测句柄泄露(定位到具体代码)
1.构造一个测试用例[cpp] view plaincopy#include "stdafx.h" #include void NormalFunc() { HANDLE hEvent; hEvent = CreateEvent(NULL,TRUE,TRUE,NULL);
2015-11-17 13:11:32
818
转载 taskmgr多开补丁
本来想写xxx游戏多开补丁的,后来想想算了,这个游戏有违道德,so 选择一个微软自己的东西搞搞理论就好了。 经常用任务管理器的人都知道taskmgr默认是只能开一个的,除非电脑非常卡的时候可以开很多个,就像xxx游戏在运行一个客户端以后,迅速的再双击,又可以再运行一个差不多原理(这个跟多线程安全差不多)。 程序只能运行一个实例的方法有很多,理论就不讲了,直接开场t
2015-11-16 16:17:35
782
转载 利用FS寄存器得到任意函数地址
[plain] view plaincopy;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; ; ; 程序函数说明:利用fs寄存器,得到任意的函数地址 ; by:瀚 海 2011年11月19日
2015-11-16 16:12:36
1335
转载 MicroSoft编译器你不可不知的秘密
标题: 【原创】MicroSoft编译器你不可不知的秘密作者: 黑猫①号时间: 2012-12-15 23:33转载请注明出处 链接: http://blog.csdn.net/jha334201553/article/details/8300153注:1. 本文是写给调用dll原理不太清楚,以及不知道怎么调用未声明但是已经导出的windows API(例
2015-11-16 16:03:56
984
转载 MmGetSystemRoutineAddress 函数实现代码
MmGetSystemRoutineAddress这个函数也是比较有用的,是得到系统导出函数的地址,不过网上都是写了一堆汇编代码在哪里,根本没有可读性,还不如用IDA看呢。下面的函数是摘自ReactOS项目的代码:[cpp] view plaincopyPVOID NTAPI MmGetSystemRoutineAddre
2015-11-16 16:00:38
2170
转载 DOS攻击之SYN攻击法
#define _W64#define HAVE_REMOTE#include#include#include#include #include "remote-ext.h"#pragma comment(lib,"wpcap.lib")#pragma comment(lib,"WS2_32.lib")#pragma pack(push,
2015-11-16 15:58:15
662
转载 Windbg调试win登录用户密码验证过程
Windbg调试win登录用户密码验证过程注: 文章内容没什么特别的新意,别人都已经写烂了,我只是记录下windbg的调试命令而已,重点在扩展阅读中。写在前面:Windows系统开机密码验证时在msv1_0.dll的MsvpPasswordValidate函数中进行的,这个函数原型是:BOOLEAN __stdcallMsvpPassw
2015-11-16 15:37:44
780
转载 NTFS XCB定位
标 题: 【原创】NTFS XCB定位。作 者: zkgy时 间: 2013-07-04,11:19:47链 接: http://bbs.pediy.com/showthread.php?t=174789NTFS XCB 定位小小的一个研究。。。顺便纠正一下sudami大牛在《NTFS底层挖掘中》关于通过SCB定位子LCB的一个错误。给研究NTFS的人做一点小小
2015-11-16 13:34:09
1070
转载 学NTFS格式磁盘解析及atapi磁盘读写
链接:http://forum.eviloctal.com/thread-39947-1-1.html[原创]也学NTFS格式磁盘解析及atapi磁盘读写信息来源:邪恶八进制信息安全团队(www.eviloctal.com)文章作者:Styxal这个么……其实是某门课的大作业……自选题,于是就选了解析NTFS格式磁盘及Atapi读写,主要目的还是……破隐藏、穿还原、
2015-11-16 13:22:59
689
转载 Windbg设置条件断点
条件断点(condition breakpoint)的是指在上面3种基本断点停下来后,执行一些自定义的判断。 在基本断点命令后加上自定义调试命令,可以让调试器在断点触发停下来后,执行调试器命令。每个命令之间用分号分割。语法格式如:0:000> bp Address "j (Condition) 'OptionalCommands'; 'gc' "0:000> bp
2015-11-13 17:27:46
470
转载 各种编程语言查找按钮事件
http://blog.csdn.net/lwglucky/article/details/5289532一、VB程序 其实,VB的按纽事件的找法是最为普遍的,也就是大家所谓的万能断点.其实也不仅仅是针对按纽事件,还有很多其他的用处,如取消NAG,启动框,灰色按纽或隐藏按纽,启动时的timer事件等等,具体的就自己去总结吧,这里只演示按纽事件!OD载入后,CTRL+B,81
2015-11-13 17:23:10
578
转载 ring3改KernelCallbackTable防键盘钩子
ring3改KernelCallbackTable防键盘钩子__declspec(naked) test(){ _asm { ret jmp oldaddr }}DWORD * KernelCallbackTable = NULL;_asm{ push eax mov eax,dw
2015-11-09 20:28:57
1780
转载 服务中读取当前用户注册表HKEY_CURRENT_USER
服务 HKEY_CURRENT_USER HKEY_USER 读取 RegQueryValueEx 注册表 我在服务程序中使用RegQueryValueEx读取注册表HKEY_CURRENT_USER下的内容,发现读取到的内容不是预期的内容。原因是:1.服务运行在系统权限之下,而不是任何一个用户2.HKEY_CURRENT_USER存储的是当前用户的信息
2015-11-09 19:47:49
2683
转载 当出现ntdll!KiUserExceptionDispatcher时,如何用windbg 定位正确堆栈
某些情况下,当程序崩溃时异常没有被程序捕获,就会出现ntdll!KiUserExceptionDispatcher这种情况,这时就需要通过其他方式获取产生异常时的正确堆栈下面为KiUserExceptionDispatcher 函数和一些相关函数写的伪代码。这个函数在NTDLL.DLL中,它是异常处理执行的起点[cpp] view plainco
2015-11-09 14:03:05
7076
转载 HOW TO: Find the Problem Exception Stack When You Receive an UnhandledExceptionFilter Call in the St
原文链接:https://support.microsoft.com/en-gb/kb/313109HOW TO: Find the Problem Exception Stack When You Receive an UnhandledExceptionFilter Call in the Stack TraceRetired KB Co
2015-11-09 14:00:59
592
winhex编辑器
2014-03-29
w32dsm静态反汇编工具
2014-03-29
OllyDBG_1.10
2014-03-29
PEiD 0.94版本
2014-03-29
漫谈兼容内核
2013-05-02
bochs 2.6 source code
2012-09-27
Import REConstructor V1.4和V1.6两个版本
2009-02-01
万能图标提取器 V1.0(100%不变色)
2009-02-01
win2000API学习资料
2009-02-01
Asp 文件加密器(MyAsp) v2.0,网马免杀,免杀
2009-02-01
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人